Доброго времени суток жители Хабра.
Можно подумать, что беспроводные системы обнаружения вторжений — это зенитные орудия, стоящие по периметру беспроводной сети и постоянно вращающиеся радары.
Ан нет, в суровой реальности все несколько прозаичнее.
В этом посте я хочу поделиться своим опытом использования двух решений WIPS (Wireless Intrusion Prevention System).
В первой части я расскажу, что такое WIPS вообще и зачем он нужен, а также дам краткий обзор ключевых особенностей продукта Mojo AirTight и описание необходимых настроек.
Во второй части планирую рассмотреть аналогичное решение от Cisco.
Лирическое отступление
Думаю, каждый сетевой инженер сталкивался в своей жизни с понятием IPS/IDS. В современных реалиях каждый уважающий себя межсетевой экран предлагает такой функционал.Производители оборудования громко бьют себя в грудь и меряются результатами «независимых» экспертиз, чтобы определить, какой NGFW лучше ловит различные вредоносные программы.
Найти хорошую статью с рекомендациями по настройке оборудования данного класса не проблема.
К сожалению, с WIPS все не так радужно: толкового материала мало (особенно на русском языке) и это в основном маркетинговые брошюры, а не описания настроек.
Документация вендора, конечно, помогает, но зачастую ответы на интересующие вопросы находятся в разных источниках, и чтобы догадаться, где искать, нужно знать половину ответа на вопрос.
Поработав с различными решениями в этом классе, я решил написать собственное более техническое руководство и поделиться им со всем миром.
Моя статья не претендует на полное освещение функционала описанных ниже решений и не является истиной в последней инстанции.
Используйте опыт автора на свой страх и риск.
Что такое WIPS и зачем он нужен?
WIPS — это система, которая отслеживает окружающий радиоэфир с помощью датчиков (обычно это те же точки доступа, которые раздают Wi-Fi), анализирует полученную информацию об источниках радиосигнала, их взаимодействии и аномальной (необычной) активности и предотвращает действия, противоречащие настроенная политика предотвращения вторжений.Разные системы WIPS используют разные алгоритмы выявления «нарушителей» и механизмы предотвращения их деятельности.
Однако, несмотря на различия в методах, список угроз, с которыми пытается бороться каждая система, примерно одинаков (как показывает мой личный опыт, заявленный функционал не всегда эффективен на 100%).
- RogueAP — это вредоносная точка доступа, которая полностью или частично копирует «внешний вид» настоящей (то же имя SSID или с небольшими отличиями) и предназначена для реализации MiTM-атаки и/или компрометации учетных данных неосторожного пользователя.
- Ad-hoc — это режим работы, при котором устройство, подключенное к локальной сети, раздает Wi-Fi другим пользователям и, как следствие, обеспечивает доступ к локальной сети.
- DoS — это атака типа «отказ в обслуживании».
В реалиях беспроводных сетей это в основном наводнение сообщениями о деаутентификации пользователей или засорение эфира бесполезными сообщениями (шумами) с целью ухудшения качества сети.
- MAC-Spoofing — это подделка адреса отправителя сообщений с целью выдать себя за клиента/точку доступа.
- BruteForce — подбор пароля Wi-Fi с использованием грубой силы/атаки по словарю.
- Атаки на известные уязвимости протоколов шифрования и авторизации – уязвимости WEP, WPA, WPS и т.д.
Моджо AirTight
общее описание
Mojo AirTight от Mojo Networks — первая система, с которой я когда-либо работал.Это комплексное решение для обеспечения беспроводного доступа и организации WIPS. Система имеет традиционную архитектуру: точки доступа и контроллер Wi-Fi + система управления WIPS. Также предусмотрена облачная версия контроллера, но не думаю, что эта опция востребована в нашей стране.
Точки доступа можно использовать в 3 режимах:
- AP – обычная точка доступа
- Датчик - точка доступа в режиме WIPS/WIDS
- Network Detector — это точка доступа, сканирующая проводные сегменты.
Отдельная лицензия для функциональности WIPS не требуется.
Принцип действия
Принцип работы Mojo AirTight WIPS достаточно прост – все обнаруженные пользователи и точки доступа классифицируются на 5 категорий: Авторизованные, Неправильно настроенные, Внешние, Неизвестные, Мошеннические.Авторизованные — доверенные точки доступа и подключенные к ним клиенты.
Неправильно настроены — точки доступа, которым доверяют, но они настроены неправильно в соответствии с политикой IPS. Внешние — точки доступа и подключенные к ним клиенты, которые не являются ни доверенными, ни вредоносными.
Соседи Wi-Fi, в общем.
Неизвестные — точки доступа и подключенные к ним клиенты, которые еще не классифицированы или по которым недостаточно информации для их классификации.
Rogue — вредоносные точки доступа и подключенные к ним клиенты.
Классификация осуществляется автоматически, но в случае неправильной классификации системный администратор может вручную присвоить любую категорию (кроме «Неправильно сконфигурировано»).
Соответственно, авторизованными считаются точки доступа, напрямую подключенные к серверу управления Mojo; точки доступа, подключенные к другому контроллеру, с которым интегрирована система (о возможностях интеграции я расскажу чуть позже); точки, не подключенные к Mojo, но настройки которых соответствуют политике безопасности IPS. Неправильно настроено — точки, настройки которых не соответствуют политике WIPS (например, точка использует WPA, но политика WIPS требует только WPA2-Personal).
Может быть подключен к серверу управления Mojo или к другому контроллеру Wi-Fi, с которым интегрирована система.
Несанкционированными точками доступа считаются точки доступа, подключенные к проводной сети, контролируемой инструментами Mojo, но не авторизованные (случай, когда кто-то подключил к сети дополнительную точку доступа, не обслуживаемую корпоративным беспроводным контроллером).
Также в список вредоносных включены точки, передающие корпоративные SSID (но не авторизованные по описанным выше критериям) и SSID, находящиеся в черном списке.
Ну а все остальные точки относятся к внешним.
По результатам классификации к точкам и пользователям применяются действия, описанные в политике WIPS. Политика предполагает беспрепятственное взаимодействие между Авторизованными объектами; другие категории могут быть ограничены.
Рекомендуется запретить взаимодействие с объектами Rogue и Misconfigured, но не применять никаких ограничений к объектам группы Внешние.
Следует помнить, что система крайне «злопамятна».
Если точка или пользователь когда-то были отнесены к категории мошенников, то они останутся таковыми до тех пор, пока администратор их не «оправдает».
Поэтому возможна следующая ситуация: соседи по бизнес-центру случайно подключили свою точку доступа не к тому коммутатору в коммутационной комнате.
Через некоторое время они осознали свою ошибку и исправили ошибку, но Моджо уже нашел и классифицировал их точку зрения.
И он начал применять к нему действия, определенные политикой — например, глушение попыток подключения к ним пользователей.
После этого Mojo переклассифицирует оставшиеся видимые точки с теми же параметрами (тот же SSID, ту же модель точки и т. д.), принадлежащие Wi-Fi соседа, и их постигнет та же участь.
Это такая кровная месть.
Начальная настройка
Остановлюсь подробнее на процессе установки и настройки системы.
После развертывания образа в среде виртуализации получаем следующий вид консоли: 
Обратите внимание, что лицензия данного продукта привязана к его MAC-адресу.
Поскольку MAC-адрес виртуальной машины может измениться при ее миграции через среду виртуализации, я рекомендую назначать его вручную.
Если адрес изменится, лицензия будет утеряна и вам придется либо просить продавца перевыпустить лицензию на новый MAC, либо вернуть старый MAC и перезагрузиться.
Введите конфигурацию/конфигурацию логина/пароля по умолчанию и запустите мастер инициализации.
При инициализации нам будет предложено следующее: 
При первоначальной инициализации важно указать работающий NTP и DNS-сервер.
Если этого не сделать, веб-интерфейс может не запуститься и дальнейшая настройка системы будет невозможна; вам нужно будет перенастроить эти параметры через консоль и перезагрузиться.
Также необходимо указать DNS-суффикс.
Этот параметр нужен для корректной работы механизма автоопределения серверов точками доступа.
Он должен совпадать на сервере Mojo, на DNS-сервере и на каждой точке доступа.
Далее заходим в веб-интерфейс и «вводим» файл лицензии.
Для получения файла лицензии (разумеется, после покупки) необходимо обратиться к производителю и сообщить ему MAC-адрес сервера.
В системе нет пробного и льготного периодов.
После этого у нас есть система, готовая к настройке.
но в ней не хватает самого главного — точек доступа.
С точками доступа есть отдельный нюанс: одновременно точка доступа может находиться только в одном из 3-х режимов (AP, Sensor, Network Detector).
Главный подвох в том, что точка не может одновременно передавать информацию и сканировать эфир, предотвращая вторжения.
Итак, чтобы WIPS работал, необходимо спланировать размещение отдельных точек, выполняющих только заданную задачу.
Чтобы точки доступа могли автоматически подключаться к серверу Mojo, WIPS требует, чтобы они получили IP-адрес, адрес DNS-сервера и DNS-суффикс через DHCP. На DNS-сервере также должна быть запись с именем «wifi-security-server», указывающая на сервер Mojo. В принципе, каждую точку можно отрегулировать вручную, но это не наш метод. При работе через межсетевые экраны необходимо убедиться, что разрешены описанные ниже взаимодействия.
| Порт | Применение |
|---|---|
| TCP/21 | FTP – передача файлов может использоваться для скачивания |
| TCP/22 | SSH |
| TCP/25 | Интеграция SMTP — используется для отправки оповещений |
| TCP/80 | Загрузка обновлений ОС точками доступа на WIPS-серверы |
| TCP/443 | Графический интерфейс администратора |
| TCP/1035 | Связь между серверами WIPS, работающими в кластере |
| TCP/3851 | Взаимодействие с AirTight Mobile — конечным клиентом от Mojo Networks |
| TCP/3852 | Откройте VPN при использовании точки интеграции облака (CIP) |
| TCP/4433 | Используется для аутентификации клиента с использованием сертификатов/смарт-карт. |
| TCP/5432 | Взаимодействие баз данных PostgreSQL кластера серверов WIPS |
| TCP/2002 | Порт, используемый для захвата пакетов.
На этом порту точка доступа ожидает команды от сервера для инициирования сеанса сбора трафика.
|
| УПД/23 | NTP - синхронизация времени (взаимодействуют как точки, так и сервер) |
| УПД/161 | SNMP (прием сообщений) — необходим для интеграции со сторонними контроллерами (например Cisco WLC) |
| УПД/162 | SNMP — (отправка сообщений) — необходим для интеграции со сторонними контроллерами (например, Cisco WLC) |
| УПД/389 | LDAP — интеграция LDAP для аутентификации пользователей.
|
| УПД/694 | Пульсация между серверами кластера WIPS |
| УПД/514 | Syslog — интеграция с внешним SIEM |
| Удп/1194 | Открытый VPN между серверами в кластере |
| Удп/1812 | Radius - аутентификация пользователя через радиус-сервер |
| Удп/3851 | Обмен информацией с точками доступа по протоколу SpectraTalk |
После этого их можно переключить в необходимый режим.
Также есть возможность настроить профиль устройства, который будет автоматически переводить все подключенные точки доступа в необходимый режим.
Но, как обычно, есть один нюанс: если точка долго не может найти контроллер, то от разочарования она впадает в летаргический сон и единственное лекарство от этой проблемы - перезагрузка после предварительной настройки фаервола/маршрутизации.
/ДНС.
Точки в режиме сетевого детектора необходимо настроить вручную через SSH/консольное соединение.
Смысл этого режима в том, что точка подключается ко всем VLAN локальной сети через транк и ищет признаки проводного подключения неавторизованных точек доступа.
Если он его находит, то начинает подделывать их MAC-адрес и всячески вмешиваться в их жизнь.
Такое поведение устройства может вызвать недовольство коммутаторов, поэтому их также рекомендуется предварительно настроить.
Сама настройка сетевого детектора достаточно проста: нужно изменить режим работы, настроить транк (указать список VLAN), настроить параметры сети для каждой VLAN (задать IP-адрес и маску сети), указать, через какой VLAN идти.
получить доступ к серверу Mojo и указать его адрес.
Собственно, этап начальной настройки системы завершается, когда сервер управления и точки доступа видят друг друга.
Я не буду подробно останавливаться на настройке Wi-Fi с помощью Mojo — этот процесс ничем не отличается от настройки беспроводной сети на оборудовании любого другого производителя.
Далее я расскажу о настройке служб, необходимых для работы WIPS, и самого WIPS в частности.
Настройка локаций
Далее необходимо настроить «карту» сети.Для этого необходимо настроить «топологию»: создать специальные сущности — «здания» и «этажи» (ни при каких обстоятельствах не используйте кириллицу — система ее не поддерживает).
Для каждого «этажа» — скачайте план этажа и отметьте расположение всех датчиков и законных точек доступа.
Элементы топологии создаются в меню Locations> > Add Location. Загрузка карты - Местоположение> > Здание X> Этаж Y> Добавить планировку.
При загрузке карты вам необходимо указать длину и ширину помещения и выбрать единицы измерения.
К сожалению, карта представляет собой всего лишь рисунок (в формате jpg) без возможности указать на нем какие-либо объекты (например, стены).
Добавление датчика/точки доступа на план осуществляется в меню: Местоположение> > Здание X> Этаж Y> Показать список устройств.
Из появившегося списка устройств датчик/точку необходимо «перетащить» на его место на карте.
Карта должна быть максимально точной, как и размещение на ней датчиков и точек доступа.
Это необходимо для корректной работы механизма позиционирования (подробности ниже).
Настройки IPS
Настройка IPS требует последовательного выполнения трех шагов.
- Настройка разрешенной политики SSID .
На этом этапе мы создаем профиль для каждого легитимного SSID, в котором указываем имя SSID, его параметры (шифрование, метод аутентификации и т. д.).
Настройка осуществляется в меню Конфигурация> WIPS> Авторизованная политика WLAN> .
После создания всех профилей SSID вам необходимо активировать их для каждого местоположения в зависимости от того, какие SSID могут присутствовать в определенном месте.
Настройки политики для каждого местоположения выполняются после нажатия на ссылку «Нажмите здесь, чтобы включить редактирование и настройку политики».
По умолчанию политики наследуются из корневого расположения.
- Настройка политик IPS .
Здесь все довольно просто – ставьте галочки напротив интересующего вас функционала и все. - Включить IPS .
До включения система работает как WIDS - все видит, но не мешает.
Подробно описывать, как осуществляется противодействие злоумышленнику, я не считаю необходимым, поскольку об этом можно прочитать в документации вендора или, скажем: Прямо здесь .
Интеграция с существующим Wi-Fi
Одним из преимуществ этой системы является возможность интеграции со сторонним Wi-Fi-контроллером.Таким способом можно распределить функционал – Wi-Fi раздается на одно устройство (причем его администрирует 1 человек), а мониторит другой человек (и, соответственно, это может быть зона ответственности другого человека).
Поддерживается интеграция с Cisco WLC, контроллерами мобильной связи Aruba и контроллером HP MSM. Связь осуществляется через SNMP. Здесь нет особой необходимости что-либо настраивать — нужно указать IP-адрес от контроллера, выбрать версию SNMP, указать имя сообщества, учетные данные (в случае SNMPv3) и поставить галочки, от каких параметров мы хотим получать контроллер.
Для WIPS в принципе достаточно только информации о ТД и клиентах, но мы можем также отметить галочкой информацию о точках, чтобы была видна каждая точка доступа, обслуживаемая контроллером, с которым мы настраиваем взаимодействие.
Это может быть полезно в следующей ситуации — допустим, контроллер, с которым мы интегрируемся, обслуживает одновременно несколько зданий.
В здании «А» у нас есть свои датчики Mojo — они все видят сами и не нуждаются в помощи АП; но в корпусе «Б» у нас нет датчиков, и тогда информацию о радиоучастниках мы можем получить от контроллера.
Конечно, заставить контролируемые контроллером точки работать на «подавление» система не сможет, но классифицировать увиденные таким образом вполне способна.
И если в здании «Б» мы классифицируем таким образом точку-изгой, то система сформирует Тревогу и администратор сможет увидеть это в интерфейсе и принять меры.
Не автоматически, конечно, но хоть как-то.
В общем, это все о настройке интеграции.
Еще раз уточню: чтобы баллы, полученные от стороннего Wi-Fi-контроллера, прошли авторизацию, необходимо настроить IPS, как я писал выше.
Если этого не сделать, то они станут неправильно настроенными.
Однако этот механизм не всегда работает корректно.
Например, мне приходилось сталкиваться с ошибкой, из-за которой все полученные от WLC точки Cisco 1600 почему-то не добавлялись автоматически к авторизованным и вообще отображались как несколько отдельных точек (по количеству SSID).
Мне пришлось классифицировать их вручную, чтобы избежать проблем с WIPS.
Расположение объектов
Одной из наиболее интересных особенностей этой системы является позиционирование объектов сети Wi-Fi. Теоретически для этого механизма не требуется никакой настройки и он работает «из коробки».На практике, чтобы все было красиво, как в примере ниже, требуется очень тщательная настройка карты и калибровка датчиков.
Калибровка предполагает построение системой графика триангуляции объектов и определение расстояния до них.
Система показывает фактический и ожидаемый графики, и в идеале они должны совпадать.
Но, учитывая наличие стен и других шумящих объектов, хороший результат для точного позиционирования — соответствие графиков 70%.
Все сводится к оптимальному расположению точек в комнате и правильной настройке карты (здесь, конечно, много нюансов).
Есть и другие особенности — во-первых, система через определенные промежутки времени получает информацию от точек доступа, управляемых сторонним Wi-Fi-контроллером, и если вы используете эту информацию для позиционирования движущегося объекта, то при сравнении текущих данных датчиков с данными от точку доступа, пройдет уже пять минут, позиция будет «немного» неточной.
Во-вторых, при создании карты помещения невозможно указать объекты, ухудшающие передачу сигнала.
Например, электрический щиток, расположенный на полу, может существенно исказить картинку.
Как это работает? Например, в Интернете появился злостный нарушитель и нам необходимо его найти.
Переходим на вкладку «Мониторинг» > «Безопасность», находим интересующий нас клиент и выбираем опцию «Найти» — на скриншоте обведена черным кружком (в данном примере я просто добавил соседнюю точку доступа в черный список и все ее клиенты автоматически стали « зло").
После этих несложных манипуляций мы получим на карте синий квадрат (если все правильно настроено и откалибровано).
На скриншоте показан пример позиционирования при правильной калибровке системы.
Мини-послесловие
В целом решение сработало хорошо и больше особых проблем (кроме описанных в тексте) я не встретил.Однако необходимость ставить отдельные точки для передачи данных и отдельные для WIPS мне кажется немного странной, т.к.
большинство конкурирующих решений умеют совмещать этот функционал в одной точке (с ухудшением радиуса покрытия, но всё же совмещать это).
А чтобы позиционирование работало, как в примере, нужно очень точно составить схему, спланировать размещение датчиков и потанцевать с бубном.
Однако все тесты на выявление нарушителей тестов, дополнительных точек, подключенных к проводной сети, и запрета подключения клиентов к беспроводным сетям в целом (главное не экспериментировать с блокировкой на органах власти - они обижаются) прошли успешно.
Противодействие DoS работает не очень хорошо — датчики справляются с частотными помехами, а обнаружение помогает в поисках лишь ограниченно, т.к.
начинает глючить.
А при противодействии стандартным атакам вроде флуда соединения, принудительного отключения и т.п.
деградация пропускной способности сети по-прежнему заметна.
Но найти источник все равно становится проще.
C — это Cisco. Продолжение следует. Артем Бобриков, инженер-проектировщик информационной безопасности компании «Инфосистемы Джет» Теги: #информационная безопасность #Беспроводные технологии #wi-fi #ips #mojo airtight #mojo
-
Официальный Блог Google Был Взломан Хакерами
19 Oct, 24 -
Как Тесла Изменит Мир
19 Oct, 24
